データセキュリティの一番の問題は「能力不足の経営者たち」

ある保険会社の調査によれば最大の企業リスクは「サイバーセキュリティ」と「事業中断」だ。これに対して経営陣はどの程度問題を理解しているのだろうか。

[David Jones，Cybersecurity Dive]

　保険会社Allianz Groupの調査によれば、「サイバーセキュリティ」と「事業中断」が現在、最大の企業リスクだと見なされている。

当社の経営陣はどの程度問題を認識しているのか

　経営陣の問題意識について、コーポレートガバナンスの問題を専門とするDiligent Instituteは300人のディレクターを対象に調査を実施した。結果はどうだったろうか。

　調査報告書によれば、企業の取締役は急速に進化するサイバー攻撃の脅威を監督することに苦慮している。彼らはサイバーセキュリティとデータセキュリティを最も困難な課題として捉えている。

　なお取締役はサイバーセキュリティと並んでDX（デジタルトランスフォーメーション）の問題を理解することにも苦労しているという。

備えなければ多額のコストを負担することになる

　Diligent Instituteの報告書は近年急増するランサムウェアを含む高度なサイバー脅威が、従来のコーポレートガバナンスにどのような課題をもたらしているかを浮き彫りにした。

　データセキュリティは、米国企業の最上位層における優先課題となっている。ビジネスリーダーは顧客に対して率直な態度で臨まなければならず、投資家や政府規制当局に対しては透明性を保ちながら、業界パートナーと迅速に情報を共有することが求められている。

　Diligent Instituteのドッティ・シンドリンガー氏（エグゼクティブディレクター）は、次のように述べる。

　「サイバーリスクを監督することは非常に困難だ。サイバー犯罪の世界的な被害額は2025年までに10兆5000億ドルに達すると予想されており、サイバーセキュリティは取締役会レベルの必須課題となっている」

　2025年までのサイバー犯罪の総被害額はCybersecurity Venturesが予測した値だ。

いまだに取締役会には違和感あり

　しかし、サイバーリスクの監視やそれに伴う技術的な概念や用語は、取締役にとっては依然として異質なものに感じられると、シンドリンガー氏は述べる。

　Diligent Instituteの調査によると、技術の専門知識を持つ取締役は平均で9％未満だ。さらに悪いことに、調査対象となった企業の半数では、技術の専門知識を持つ取締役が全くいない。

　「取締役会の役割は会社の長期的な健全性を監視することだ。そのため、取締役がサイバーリスクの用語に精通していなければ、組織が直面する企業リスクの最も深刻な分野の一つを監督する能力が欠けていることになる」（シンドリンガー氏）

　ただし、全くの無策ではない。証券取引委員会が提案する新しい情報漏えい開示規則に備えるために、半数近くの取締役は自らの取締役教育プログラムを実施していると報告書で伝えられた。

出典：Corporate boards struggle to understand cybersecurity and digital transformation（Cybersecurity Dive）

注1：What Directors Think 2023

注2：Cyber, business interruption remain top global corporate risks（Cybersecurity Dive）